[发明专利]一种移动数据业务状态的安全集中采集方法

说明书

技术领域

本发明涉及通信领域，尤其是一种移动数据业务状态的安全集中采集方法。

背景技术

随着移动通信技术的飞速发展，新的数据业务不断推出，数据网的业务系统不断增多，目前已有十五个专业；在同种业务系统中，又有不同的设备供应商所提供的数据业务设备，它们使用的协议和实现方式各不相同；为了网络安全，各业务系统的维护主机分布在独立的子网上，彼此不能互通；同时数据业务技术更新快，在维护和管理经验上与成熟的电话网络相比有较大的差距，需要加强积累。业务设备入网时，一般由供应商提供网管系统，目前还没有统一的网管平台，对业务系统的监控和管理分散在各业务系统的监控终端上进行，在系统监控方面缺乏自动化工具和手段，需要人工监视设备和业务的状态、人工逐条执行日常维护指令并查看返回结果。由于移动通信服务业务的特殊性，数据业务需要安排7×24小时值班监控，工作压力比较大，经常出现顾此失彼的现象，各业务系统发生的障碍难以及时发现，故障处理时延大。提出一种能够集中采集移动数据网中所有业务系统内业务状态数据的方案，是现有技术亟待解决的问题。而由于数据业务系统没有统一的规范和协议，导致目前在本领域现有各种各样的采集方法，从全业务流程的信令镜像采集系统，到针对某一台设备或业务的专用采集方案，要么耗资巨大，要么适用性不强，不便于实现业务状态数据集中。尤其是需要采集的数据分布于多个业务网络上，这些业务网络的数据按照安全要求是严格禁止互相访问的。怎样安全地实现业务状态集中采集，是目前本领域公认的技术难题。

发明内容

本发明的目的在于提供能够安全实现集中采集移动数据网中所有业务系统内业务状态数据的方案，以便提高解决故障的效率和质量。

为实现本发明所述目的，本发明提供的移动数据业务状态的安全集中采集方法是：设置状态信息数据库，在各个业务系统的监控终端设置状态采集模块，状态信息数据库和各监控终端之间建立网络连接；状态采集模块向对应业务系统发出代替维护人员操作的指令，并采集响应指令输出，通过分析响应指令输出产生参数化的业务状态数据；业务状态数据通过网络集中送往状态信息数据库供处理；所述状态信息数据库和各监控终端之间建立网络连接采用以下安全实现方式：

在公网网络中设置数据库服务器实现状态信息数据库，各个业务系统的业务网络到位于公网网络中的数据库服务器分别有且仅有一个专用接口，这种专用接口一端为数据库服务器，另一端为状态采集模块，该专用接口有以下三个特征，

(1)接口自封闭，该接口两端分别在本地记录了对端的IP地址、MAC地址、端口号、用于生成密钥的标识符，两端交互时严格对应，凡不满足的数据包全部会被过滤掉；

(2)限定只有运行在业务系统中的状态采集模块能够向位于公网的数据库服务器从指定端口发起主动访问，并对访问内容进行限制；

(3)此接口上流动的信息是双重加密的，其一是在状态采集模块和数据库服务器通信时采用安全连接，其二是通信时传送的数据是加密的。

而且，专用接口对访问内容进行限制，将访问内容限制为包括以下内容，

1)状态采集模块与数据库服务器交互的是密文数据包，密文数据包的内容包括格式固定的业务状态数据，格式不符的被直接丢弃；并且传送的方向限定为只有状态采集模块能够向数据库服务器主动发送数据包，不允许数据库服务器向状态采集模块主动发送应答信息除外的数据包，任何向状态采集模块发起的主动连接或主动数据包传送全部被拒绝或丢弃；

2)在设置状态采集模块的时候进行注册交互；

3)状态采集模块定时发送心跳信息给数据库服务器，用于确认状态采集模块的活动状态；

而且，所述注册交互的信息为128位标识符，在安装每个状态采集模块时，数据库服务器随机产生标识符，状态采集模块取得该标识符并保存，用于此后运行时的加密。

而且，所述密文数据包由状态采集模块利用WEBSERVICE访问方式，通过指定端口向数据库服务器提供。

而且，所述指定端口采用80端口。

而且，代替维护人员操作的指令以脚本文件形式存储在状态采集模块中供使用，脚本文件中含有待采集业务设备的账号、口令和指令，脚本文件中的所有数据都使用加密算法进行逐条加密。

而且，数据库服务器仅开放指定端口，状态信息数据库外部设置防火墙进行保护，防火墙中设置流量限制、用户IP地址限制及协议限制。